Перейти к содержанию

Сертификаты, шлюз подключений и мобильные устройства


Рекомендуемые сообщения

Всем привет.

Сервер был установлен года 3 назад и подключение из глобальной сети не предполагалось, поэтому был установлен с локальным доменным именем и сертификатом по этому же имени. Допустим kes.company.local .

В связи с развитием компании появилась нужда в соединении мобильных устройств Android из глобальной сети. Для этой роли был выбран шлюз подключений на основе агента в ДМЗ и задано одно доменное имя для шлюза и сервера:

kes.company.ru. Внутри сети оно ссылается на сервер KSC, из глобальной сети оно ссылается на шлюз подключений.

Был перевыпущен сертификат для мобильных устройств на новое доменное имя и внутри сети мобильные устройства успешно соединяются с сервером, а вот из интернета нет - при соединении подключение (ожидаемо) приходит на шлюз, но отбивается в связи с "Ceritficate unknown". И это не удивительно, так как шлюз использует для соединения сертификат сервера, который еще на старое доменное имя, он использует его как для сервера так и для соединения с мобильными устройствами - соответственно  с сервером успешно соединяется, а с устройствами нет, так как у них сертификат на новое имя.

Из этого вопрос(ы):

Как полностью везде заменить сертификат сервера на новое доменное имя? или Как заставить шлюз использовать для соединения с сервером сертификат сервера, а для соединения с мобильниками сертификат для мобильных устройств.

 

 

Версия сервера: 13.1.0.8324, агента 13.1.0.8324, KESM 10.8.3.125

Ссылка на комментарий
Поделиться на другие сайты

Ну конечно открыты.

Я же написал: "при соединении подключение (ожидаемо) приходит на шлюз".

А "Ceritficate unknown" я взял из дампа Wireshark при попытке синхронизации мобильного устройства из интернет со шлюзом.

Ссылка на комментарий
Поделиться на другие сайты

А в свойствах точки распространения на ксц - шлюз указано новое доменное имя в самом низу?

Там как раз пишется, что дом имя включается в сертификат

Ссылка на комментарий
Поделиться на другие сайты

Да, конечно.

Там два имени, сначала новое, потом старое доменное имя.

ЗЫ: было, правда через точку с запятой написано, а надо через запятую - исправил, шлюз синхронизировался с сервером, но мобильные устройства все равно не подключаются по той же ошибке. После изменения в этом поле не нужно ли агента переставлять?

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

Переставлять агента не нужно.

Он же по днс имени шлюза у вас ставился, а не ксц?

Или по ксц? Тогда профиль переключения настроен в политике агента?

Ссылка на комментарий
Поделиться на другие сайты

Амм... не понял вопросов...

Профили точно никакие не настроены. Ибо не понимаю зачем.

 

Я бы понял надстройку профиля устройств на основе подсети: внутри сети использовать сервер, снаружи сети использовать шлюз. Условие задается локальными подсетями, если телефон не вних - считается что он снаружи и применяется профиль использования подключения через шлюз.

Но какой профиль и зачем настраивать для агента шлюза, я не пойму.

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, oit сказал:

Он же по днс имени шлюза у вас ставился, а не ксц?

Как ставился агент?

Что в нем указывалось в качестве сервера?

Ссылка на комментарий
Поделиться на другие сайты

Агент ставился из автономного инсталляционного пакета с указанием в нем доменного имени kes.company.ru. В нем используется сертификат сервера по умолчанию, а там домен указан старый kes.company.local....

Пробовал подпихнуть туда сертификат от мобильных устройств с доменом kes.company.ru из папки сервера, но с ним агент перстал подключаться к серверу. Смогли бы с этим сертификатом подключиться мобильные устройства проверить не смог, потому как для этого на сервере нужно включить для шлюза порты для мобильных устройств, а агент к серверу не подключается из-за сертификата.

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, Fortex сказал:

сервере нужно включить для шлюза порты для мобильных устройс

Надо, а вы что там галочки не поставили?

А попробуйте агента на мобилке поставить с указанием имени шлюза

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, oit сказал:

Надо, а вы что там галочки не поставили?

А попробуйте агента на мобилке поставить с указанием имени шлюза

Естественно ставил.... Как бы мобильное устройство тогда бы вообще подключалось, если порты были бы закрыты?!

В смысле с указанием имени шлюза? Доменного имени шлюза? Так оно одинаковое для сервера и шлюза, в первом сообщении об этом писал. Просто внутри сети это имя ссылается на сервер, а в интернет оно ссылается на шлюз.

Ссылка на комментарий
Поделиться на другие сайты

Почему не может быть? Очень может быть.

kes.company.ru указан и для сервера и для шлюза. Внутри сети он резолвится в внутренний ИП сервера, в глобальной сети он резолвится в ИП шлюза соединений.

И в тех поддержке ответили, что с версии 13 сервера и агента, + 124 билд мобильного приложения - так должно работать. 

Ссылка на комментарий
Поделиться на другие сайты

Есть неписаное правило, если обратился к одной гадалке, то к другой не обращайся.

 

Если вы обсуждали вопрос со специалистами техподдержки, то с ними бы и продолжали обсуждение, зачем начинать новое с простыми пользователями.

Ссылка на комментарий
Поделиться на другие сайты

Потому, что то обсуждение было по другому вопросу и этот ответ был дан как ответвление обсуждаемой темы.

А тут я задал вопрос, потому как схема достаточно тривиальная и, скорее всего, ее уже кто-то реализовывал - поэтому надеялся получить ответ быстрее, чем отвечает тех.поддержка. Ответа в ТП приходится ждать по 2-3 дня - это не серьезно.

В ТП этот вопрос тоже был задан, но она до сих пор молчит, а тут, как видите, уже обсуждение почти на страницу.....

Однако, теперь вижу, что тема не востребована (что очень странно, неужели никто не следит за корпоративными девайсами за пределами своей сети?! - так себе решение в плане секьюрности), поэтому реализовано в софте она через одно место....

Изменено пользователем Fortex
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • PitBuLL
      Автор PitBuLL
      Wi-Fi TP-Link Archer C5-AC1200.
      С момента его покупки, почти два года назад, у провайдера, установки и настройки техником провайдера - периодически вижу в настройках роутера посторонние подключения устройств по Wi-Fi. 
      Сразу, после покупки, установке и настройке роутера техником - на следующий день обнаружил 4 чужих подключенных устройства. Поменял тогда пароль от роутера (15 символов), поменял пароль от Wi-Fi (30+ символов).
      Через некоторое время опять стали подключаться чужие устройсва.
      Вызывал техника. Со слов техника он обновил прошивку , вернее установил предыдущую версию. Пароли опять были сменены. Через некоторое время опять стали подключаться чужие устройсва.
      И вот опять посторонние подключения. Я уже настройки роутера сбросил к заводским (Reset) и поменял пароли от роутера (15 символов) а  на Wi-Fi (30+ символов).
      Как подключаются посторонние? Взламывают 15-ти значный пароль от роутера или 30+ значный пароль от Wi-Fi? 
      Доступ к ПК с которого вхожу в настройки роутера только у меня.
      30+ значный пароль от Wi-Fi даже домашние не знают. Ввел пароль на их мобильных устройствах один раз, теперь подключаются автоматически (их устройства пароль запомнили, как в принципе и должно быть).
      И тем более ни кто из семьи не сливал пароль от  Wi-Fi соседям, посторонним людям. Ни когда гости не подключались к моей сети Wi-Fi.
       
    • Роман П.
      Автор Роман П.
      Добрый день.
       
      На одном из ПК возникла проблема с подключением к серверу администрирования через mmc-консоль администрирования.
      При попытке подключения выдает ошибку - неверный сертификат, показывая его отпечаток. Отпечаток сертификата действительно не совпадает с тем, что находится на сервере администрирования.

       
      1) При попытке повторного подключения, указываю "вручную" файл сертификата, который располагается на сервере администрирования в  C:\ProgramData\KasperskyLab\adminkit\1093\cert - статья О сертификатах Kaspersky Security Center
      Результат - аналогичен неверный сертификат.
      2) Исходя из статьи Решение проблем с узлами Сервера администрирования - зачищал файл сервера администрирования в %USERPROFILE%\AppData\Roaming\Microsoft\MMC\ 
      3) Заметил, что после того как запускаешь консоль и выдает эту ошибку, то в хранилище сертификатов certmgr.msc формируется этот "левый" сертификат.

      4) Его зачистка в хранилище сертификатов, а также же поиск  по отпечатку и удаление в реестре с последующей перезагрузкой ПК к результату не привели. По-прежнему - неверный сертификат.
      5) Переустанавливал агента и клиента Касперского. Также пытался производить подключение без установленного антивируса и агента.
       
      Вопросы: как исправить эту проблему? Как удалить этот непонятный сертификат и заставить сервер получить верный. 
       
    • Shvedko
      Автор Shvedko
      Коллеги, добрый день!
      У меня появилась задача развернуть новый сервер администрирвоания. В замен старого. Но я никак не могу отыскать как можно изменить настройки шлюза соединения в агенте?
      Подскажите где можно произвести эту настройку.
    • infobez_bez
      Автор infobez_bez
      Здравствуйте!
      В веб консоли ksc вылезло уведомление о том, что истекает доверенный сертификат 
      Нужно ли его перевыпускать/заменять или он автоматически заменится на другой после окончания срока действия?
      И еще, после смены сертификата будут ли видеть ПК сервер администрирования или их заново придется подключать?
    • reliance
      Автор reliance
      Диспетчер устройств никакую ошибку не выдает, просто не открывается. При открытии Редактора реестра (regedit) появляется ошибка 0xc0000017CollectionLog-2025.06.22-16.40.zip
×
×
  • Создать...